譚紅春

摘要：P2P網(wǎng)絡是一個分布式網(wǎng)絡模型，也叫對等網(wǎng)絡，網(wǎng)絡中的節(jié)點都有相同或相近的責任，其特點就是降低以服務器為核心的地位，充分整合分布在終端主機上的資源，如CPU資源、網(wǎng)絡資源和存儲資源等。跟傳統(tǒng)的C/S模式有著巨大的區(qū)別，也就是說，在對等網(wǎng)絡中，各個節(jié)點的地位是平等的，可以同時作為服務端又可以作為客戶端。

關鍵詞： P2P；結構化； 流量識別

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）31-7289-04

Abstract：Peer-to-peer is a distributed network， also called point-to-point， the nodes in the etwork have the same or similar duty， Its characteristic is reduced to the servers position， As far as possible to use the terminal host resources， such as CPU resources， networks and storage resources. It has a huge difference with the traditional C/S model.In a peer-to-peer network， all nodes are equal， it can be used as server and also can be used as a client.

Key words： peer-to-peer；structured；traffic identification

P2P（Peer-to-Peer）并非一種全新的技術，互聯(lián)網(wǎng)最基本的協(xié)議 TCP/IP 并沒有客戶機和服務器的概念，所有的設備都是通訊平等的一端。由于受早期計算機性能、資源等因素的限制，大多數(shù)連接到互聯(lián)網(wǎng)上的普通用戶并沒有能力提供網(wǎng)絡服務，從而逐步形成了以少數(shù)服務器為中心的客戶機/服務器（Client/Server）模式。但是，隨著互聯(lián)網(wǎng)跟人們生活的聯(lián)系日益緊密和深入，人們需要更直接、更廣泛的信息交流，P2P技術充分利用互聯(lián)網(wǎng)廣泛分布的資源，擴大了資源利用范圍，改變共享方式，提高了資源共享效率，比C/S模式更具穩(wěn)定性和健壯性，去中心化，使其應用日益豐富，流量迅速增長。

1 P2P基本概述

對等網(wǎng)絡技術起源于最早的網(wǎng)絡互聯(lián)時代，當時的計算機可以不通過服務器而能直接互相訪問，例如上世紀70年代的USENET和FidoNet網(wǎng)絡就是基于資源共享的。隨著計算機網(wǎng)絡化進程的不斷前進，互聯(lián)網(wǎng)主要以客戶機/服務器（C/S）為主體模式，在此應用中必須在網(wǎng)絡中擁有服務器，信息則是通過服務器與客戶端進行交流。服務器作為資源的擁有者，對各個客戶端提供資源下載，這就是傳統(tǒng)意義上的C/S模式。但是此種模式有一個共同的弊端：服務器端的資源有限，伴隨著連接用戶數(shù)的激增，服務器的性能和服務器的帶寬將經(jīng)受嚴重考驗，這在一定程度上降低了服務質量，從而制約了客戶數(shù)的增長。

對等網(wǎng)絡的出現(xiàn)打破了傳統(tǒng)C/S模式的概念，它允許各終端與另一個終端直接進行通信，上傳或下載資源，并且隨著加入P2P網(wǎng)絡的節(jié)點的增多，上傳或下載資源的速度就越快，這就遠遠增強了信息傳輸?shù)乃俣群托?。所以，P2P網(wǎng)絡是一種不通過中繼設備直接交換資源和服務的技術，它允許網(wǎng)絡用戶直接獲取對方的文件。所有的用戶都能訪問到別人的電腦資源，并進行文件的共享，而不需要鏈接到服務器上再進行瀏覽與下載。

2 P2P體系結構

P2P體系結構大致歸納為兩種，一種是非結構化的P2P，另一種是結構化的P2P [1]。

結構化P2P采用純分布式的消息傳遞機制和根據(jù)關鍵詞查找的定位服務。分布式哈希表（DHT） [2]技術是如今主要采納的技術，此類系統(tǒng)代表的有加州大學伯克利分校的CAN項目和TaPestry項目，麻省理工學院的Chord項目以及微軟研究院的Pastry[3]項目等。

如今大多數(shù)P2P系統(tǒng)都是采用的非結構化的P2P網(wǎng)絡，這種非結構化的P2P網(wǎng)絡總共經(jīng)歷了四代的發(fā)展，現(xiàn)在就此四代的歷程做以簡述：

第三代混合式的結構。如圖3所示，混合式P2P模型綜合了以上兩種結構的特點，在此模式中，依然去除集中服務器，只建立超級節(jié)點，也叫搜索節(jié)點，其他節(jié)點叫普通節(jié)點。搜索節(jié)點用來處理普通節(jié)點的搜索請求，擁有強大的處理器、硬盤空間、連接速率，和普通節(jié)點相互協(xié)作，共同管理整個網(wǎng)絡，它們之間組成了一個自治的簇。所有的簇就構成了一個混合式的結構。每個簇內結構與集中服務器結構類似，如果普通節(jié)點要進行資源搜索，首先是在本地所在的簇內查詢，僅當搜索結果不完全時，才在其他搜索節(jié)點之間采取有限的廣播，得到查詢的目的后，就可以同時對擁有資源的多個節(jié)點進行獲取。這就要判斷資源是否為相同資源，是的話就要對資源進行分片處理。

總的來說，采用這樣的模式，普通節(jié)點受控于搜索節(jié)點，可以抑制病毒和惡意攻擊等行為，并且可以減少網(wǎng)絡堵塞，檢索耗時等負面影響。

第四代P2P（發(fā)展中的P2P技術）。在對等網(wǎng)絡經(jīng)歷了上面列舉的三代P2P結構以后，在此基礎上，P2P網(wǎng)絡又出現(xiàn)了很多新的技術和措施，具體的有以下幾個方面：

1）隨機端口技術。以前的大部分P2P應用都使用固定的端口，隨著以端口為檢測手段的軟件出現(xiàn)，P2P軟件協(xié)議設計者開始采取動態(tài)選擇隨機端口進行傳輸數(shù)據(jù)，以達到防檢測的目的。通常這些動態(tài)端口都選擇在1024～4000之間，有可能一些P2P軟件用80端口來躲避檢測。這為檢測軟件帶來非常大的難度，常規(guī)檢測手段已經(jīng)不能滿足需求。

2）加密技術。同樣是為了躲避檢測，一些P2P軟件開始對有效荷載部分進行加密傳輸，此技術另外一個好處就是起到保護使用者的隱私問題。目前，各大P2P軟件運營商都非常重視此項技術。

3）雙向下載。早期的對等網(wǎng)絡需要先下載完成后才能將資源共享給其他用戶，而現(xiàn)在一些P2P軟件支持對文件或文件的一部分，進行多路并行下載和上載。文件的分發(fā)速度明顯提高。

3 P2P流量檢測手段

P2P流量檢測是當前各研究人員重點的方向，通過歷年的技術發(fā)展，P2P流量識別大致分為三類，端口識別、深度數(shù)據(jù)包識別和基于行為特征的識別方法。下面我們列出在P2P流量識別中常用到幾種方法：

3.1 端口識別

我們所講的端口是傳輸層里的范疇，即TCP或UDP端口?；ヂ?lián)網(wǎng)數(shù)字分配機構將端口分為3種：知名端口、用戶端口和動態(tài)端口。通過對端口的識別，可以區(qū)分出應用層的各種應用，其中包括使用固定端口的P2P應用，比如BT使用6881- 6889，E-Donkey使用4661和4662端口[5]，表1列出了各種P2P軟件使用的端口?？墒请S著P2P技術的發(fā)展，很多P2P技術采用非標準的端口，或者采用動態(tài)端口進行傳輸，達到躲避被網(wǎng)絡管理者檢測的目的。

3.3基于會話的分類

在數(shù)據(jù)流當中，每個數(shù)據(jù)包都有可能存在TCP/UDP端口，而一些高層協(xié)議的特征代碼，只會出現(xiàn)在前幾個數(shù)據(jù)報中，所以，通過會話包當中的某個數(shù)據(jù)報中找到P2P特征代碼時，此會話包的其余數(shù)據(jù)報我們就認為是P2P流量，甚至存在有的P2P協(xié)議會采用幾個會話包，因此檢測軟件在判斷P2P流量時要能同時進行關聯(lián)匹配，這樣才能減少漏判率。

3.4 IP pair法識別

經(jīng)過長期試驗，我們發(fā)現(xiàn)，很大一部分的P2P流量都同時使用TCP和UDP協(xié)議，可是也不排除一些常規(guī)業(yè)務像IRC 、NETBIOS 、DNS及影視娛樂業(yè)務，也同時使用了上述兩種協(xié)議，并且它們使用的端口是固定的，這些流量我們能根據(jù)端口匹配加以過濾，剩下的同時使用了TCP和UDP協(xié)議的業(yè)務，我們就認定為P2P流量。

3.5深層數(shù)據(jù)包檢測技術（DPI）

DPI即深層數(shù)據(jù)包檢測技術，它是基于應用層的“特征字”的檢測方法，通過對IP 包頭的解析，讀取相應的荷載內容。此種方式需要維護一個payload特征庫，此特征庫可以建立在前人的基礎上添加，也可以以人工的方式自動提取。表所示就是一些常用的特征庫。根據(jù)解析出來的特征碼，再加上適當?shù)哪Ｊ狡ヅ渌惴ǎ瑢Ψ系牧髁烤涂膳袛酁镻2P流量。典型的DPI技術有如下幾類：

1）應用層網(wǎng)關識別技術。即信令流關聯(lián)識別規(guī)則。在實際的流量中，不少協(xié)議業(yè)務流和控制流是分開的。其中的數(shù)據(jù)流是沒有明顯的特征，所有我們只能應用網(wǎng)關識別技術。具體的識別步驟是這樣的：第一步，先識別出控制流，分別經(jīng)過特殊的應用層網(wǎng)關對控制流協(xié)議進行分析，從分析結果中獲取對應的數(shù)據(jù)流。

2）基于應用層特征字檢測技術。根據(jù)每個應用對應每個協(xié)議的特點，我們分析應用層具有標識和行為交互的數(shù)據(jù)包開頭部分的內容，這些特征我們定義為指紋，可提取的指紋特征為字符串，固定端口和特定的bit序列。隨著檢測的深入，我們可以對指紋信息進行更新改造，以適應對新P2P應用的檢測。像對Bittorrent協(xié)議進行反向工程的方式分析，我們發(fā)現(xiàn)從握手報文開始，以后都是循環(huán)的消息流，其中都有代表消息長度的數(shù)字，進一步分析，我們可以觀察到首先發(fā)送的數(shù)字19，其后是字符串”Bittorrent ProTocol”，于是這個字符串就是Bittorrent的關鍵詞。

3）行為模式的識別技術。此種識別模式是根據(jù)節(jié)點目前的動作和未來將采取的動作，也就是根據(jù)節(jié)點已經(jīng)實施的動作及行為進行判定，一般是通過協(xié)議分析無法得到結論的時候，才采取的識別技術。像垃圾郵件業(yè)務和一般郵件業(yè)務的區(qū)分，通常從內容上看都是一樣的，可是當我們通過業(yè)務行為的分析，才能夠區(qū)分出誰是垃圾郵件。

3.6 基于流量特征的檢測技術（DFI）

為了彌補深度數(shù)據(jù)包檢測在加密檢測、未知的以及復雜的難以提取特征碼的檢測的不足，一種新的解決方案被提出，那就是深度流檢測技術即DFI，同時也是為了解決DPI技術的頻繁升級和無法檢測等一系列難題。深度流檢測技術，它是基于數(shù)據(jù)流的行為特征，依據(jù)的檢測標準是不同的數(shù)據(jù)流具有不同的行為特征，即根據(jù)數(shù)據(jù)流或會話鏈接上呈現(xiàn)的不同的行為方式。

DFI檢測的主要步驟分為：首先建立流量特征模型，選取具有代表性的特征；其次根據(jù)會話的包長、傳輸字節(jié)的大小、連接速度、包和包發(fā)送的時間差等，和建立的流量特征模式進行對比，從而達到檢測的目的。根據(jù)實際情況，可以選擇的特征模型也比較多，下面我們列舉一些主要特征：

1）網(wǎng)絡連接數(shù)量大。這是對等網(wǎng)絡最明顯的特征之一，通常處于P2P網(wǎng)絡中的節(jié)點與其他節(jié)點連接數(shù)比較多，產生的流的數(shù)目也多。相對于一般的應用如Http業(yè)務，連接數(shù)大就是一個明顯的區(qū)分條件。

2）流的持續(xù)時間長。P2P軟件使用比較多的就是資源共享，并且這些共享資源占用的存儲空間也比較大，像一些影視資源、安裝軟件、游戲、電子資源等，而且一般用戶在下載完畢后，還繼續(xù)保持與其他節(jié)點的連接，在對等網(wǎng)絡中共享出已經(jīng)下載好的資源。軟件的設計原理就導致了流的持續(xù)時間長的特點。

3）上下行流量的比例大小。正常的網(wǎng)絡應用，上下行流量都不對稱，往往是上行小于下行，除了我們使用Ftp或其他上傳軟件，才會導致上行大于下行，可是在對等網(wǎng)絡中，另一個明顯的特征就是上下行流量是對稱，基本上相等的。這也可以作為我們區(qū)分P2P應用和常規(guī)應用的標準。

4 結論

P2P應用已在互聯(lián)網(wǎng)上已經(jīng)占據(jù)大量資源，如何處理此流量帶來的負面影響，已經(jīng)成為亟待解決的問題。該文討論的P2P體系和檢測技術，目的都是為檢測出P2P流量，而且各方法都有各自的優(yōu)缺點。在具體實施過程中，不同的應用對應著不同的檢測方法，因此我們需要綜合運用才能帶來更好的效果。

參考文獻：

[1] 蔣成.混合式對等網(wǎng)絡Kazaa模型結構及其分析研究[J].信息安全與技術，201（6）：69.

[2] 熊殿華.一種結構化P2P網(wǎng)絡中的動態(tài)協(xié)作緩存策略[J].計算機與數(shù)字工程，2010（1） ：58.

[3] 龍坤，陳庶樵. P2P網(wǎng)絡聚合流量識別技術研究[J].通信技術，2010（1）：142.

[4] 梅紅巖，張玉潔.非結構P2P網(wǎng)絡受限搜索機制[J].軟件學報，2013（9）：2132.

[5] 李鑫，劉東林.基于統(tǒng)計特征的P2P流量檢測方法[J].計算機工程，2010（5）：114.